admin Wordpress教程丨关于XML-RPC介绍
WordPress网站在 3.5版本后就开启了XML-RPC 我们今天就为大家介绍它的用法和关闭禁用的代码方法:
什么是XML-RPC:
XML-RPC的全称是XML Remote Procedure Call,即XML远程方法调用。它是一套允许运行在不同操作系统、不同环境的程序实现基于Internet过程调用的规范和一系列的实现。
有些用户习惯用其他的第三方软件发布WordPress文章,比如WLW(Windows Live Write),菊子曰,WordPress智能手机客户端等,都需要用到这个功能,WordPress 3.5默认开放这个功能,是WordPress向移动互联网做出的一个调整。
如果觉得这个功能用不到,可以禁用掉
为什么要禁用WordPress的XML-RPC
实际上,xmlrpc.php会带来安全风险。它为您的站点创建了一个附加访问点,这可能使其容易受到外部攻击。每次对XML-RPC进行身份验证时,都需要提供用户名和密码,相比安全性来说,这个功能并不那么重要。
例如,为了防止暴力攻击,您可以限制在WordPress网站上的登录尝试。但是,启用XML-RPC后,该限制将不存在。尝试登录没有上限,这意味着确定的网络犯罪分子获得访问权限只是时间问题。
通过禁用XML-RPC,您可以关闭黑客的潜在进入区域。当然,没有XML-RPC,就不可能进行远程访问。您需要直接登录WordPress以进行发布和更新。因此,如果移动应用程序和远程软件是您进行网站更新的方法,则不能关闭该功能。
方法1:禁用Apache XML-RPC
将以下代码粘贴到wordpress根目录中的.htaccess文件中,即可禁用Apache XML-RPC通信能力。
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
如果您要允许访问xmlrpc.php的特定IP地址,则可以在上面的代码段中替换123.123.123.123。否则,您可以完全删除此行。
方法2:禁用nginx XML-RPC
你可以在对应网站的nginx配置文件中,添加下面的代码禁用 XML-RPC:
location ~* /xmlrpc.php$ {
allow 123.123.123.123;
deny all;
}
方法3:WordPress主题functions.php中禁用XML-RPC功能
add_filter('xmlrpc_enabled', '__return_false');
结语
自从wordpress在4.0版本后,默认都是会开启XML-RPC通信,方便用户使用客户端发布文章,或离线撰写博客。但是由于客户端的限制,很多网站其实用不到这个功能,开启 xmlrpc 反而增加一些安全风险,
0条评论